Les attaques de ransomware consistent en un écosystème d'acteurs. Il y a de la publicité et la fourniture de services et de partenariats sur des places de marché et des forums spécialisés sur le dark web. L'opérateur de ransomware reçoit entre 20 et 40% de part de profit, le reste reste avec le partenaire. . L'accès aux entreprises commence à 50 $.
Les attaques de rançongiciels qui chiffrent les données et exigent une rançon frappent des entreprises de toutes tailles et de tous secteurs. Cela peut facilement donner l'impression que les acteurs agissent arbitrairement. En fait, cependant, il y a un écosystème complexe derrière cela avec de nombreux acteurs différents, chacun assumant des rôles individuels. A l'occasion de l'Anti-Ransomware Day, Kaspersky fournit des informations sur l'écosystème complexe derrière les ransomwares dans un nouveau rapport [1].
L'écosystème des rançongiciels recherche des partenaires
Un exemple d'offre : l'accès bureau à distance d'un utilisateur à une entreprise est proposé ici (Image : Kaspersky).
Développeurs, maîtres de robots, fournisseurs d'informations d'identification ou opérateurs de ransomwares : l'écosystème des ransomwares se compose d'une variété d'acteurs. Ils proposent tous des services différents via des publicités sur le Darknet [2]. Les groupes professionnels indépendants et importants ne visitent généralement pas ces sites, mais REvil, par exemple, qui a de plus en plus ciblé les organisations au cours des derniers trimestres, publie désormais régulièrement ses offres et ses actualités via des programmes d'affiliation. Cela crée un partenariat entre l'opérateur de ransomware et le client, l'opérateur de ransomware recevant une part des bénéfices comprise entre 20 et 40 % en tant que vendeur, tandis que les 60 à 80 % restants restent avec le « partenaire affilié ». La sélection des partenaires suit un processus élaboré avec des règles définies par les opérateurs de ransomwares - y compris des restrictions géographiques ou des alignements politiques, tandis que les victimes de ransomwares sont sélectionnées de manière à maximiser leur utilité.
Recherche commune du profit
Vendeurs et clients ou partenaires partagent une quête commune du profit, c'est pourquoi les organisations les plus infectées sont souvent des cibles plus simples et particulièrement faciles d'accès. Ces accès sont vendus aux enchères sur des plateformes d'enchères ou proposés sur les forums Darknet à des prix fixes à partir de 50 dollars américains. Les attaquants sont pour la plupart des propriétaires de botnets qui participent à des campagnes massives et de grande envergure et vendent en masse l'accès aux appareils de leurs victimes. Les fournisseurs d'informations d'identification, quant à eux, sont toujours à la recherche de vulnérabilités connues dans les logiciels connectés à Internet, tels que les applications VPN ou les passerelles de messagerie, qu'ils peuvent utiliser pour infiltrer les organisations.
Les opérateurs de ransomwares vendent généralement des échantillons de logiciels malveillants et des créateurs de ransomwares pour 300 à 4.000 120 dollars. Un autre modèle commercial est le ransomware-as-a-service, où le ransomware est proposé avec une assistance continue de ses développeurs pour 1.900 USD par mois ou XNUMX XNUMX USD par an.
Discuter des risques ensemble et prendre des contre-mesures
Sur le dark web, les ransomwares sont proposés sous forme d'abonnement sous forme de différents forfaits d'une durée de 1, 6 et 12 mois avec des informations sur les produits et les prix (Image : Kaspersky).
« Au cours des deux dernières années, nous avons vu les cybercriminels devenir plus audacieux face aux rançongiciels », a déclaré Craig Jones, directeur de la cybercriminalité à INTERPOL. « Ces attaques ne se limitent plus aux grandes entreprises et aux organisations gouvernementales. Les opérateurs de ransomwares sont prêts à attaquer pratiquement n'importe quelle organisation, quelle que soit sa taille. L'industrie des rançongiciels est complexe et implique de nombreux acteurs différents avec des rôles différents. Pour faire quoi que ce soit à ce sujet, nous devons apprendre comment cela fonctionne et le combattre ensemble. La Journée Anti-Ransomware est une bonne occasion de sensibiliser et de rappeler au public l'importance d'utiliser des pratiques de sécurité efficaces. Le Programme mondial de lutte contre la cybercriminalité d'INTERPOL et nos partenaires s'engagent pleinement à réduire l'impact mondial des rançongiciels et à protéger la société des dommages causés par cette menace croissante."
Écosystème diversifié de rançongiciels
"L'écosystème des rançongiciels est multiforme et les intérêts en jeu sont nombreux", ajoute Dmitry Galov, chercheur en sécurité au sein de l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky. « C'est un marché en constante évolution avec de nombreux acteurs, certains assez opportunistes, d'autres très professionnels et avisés. Ils ne sélectionnent pas de cibles spécifiques, mais peuvent attaquer n'importe quelle organisation, quelle que soit sa taille, s'ils accèdent à un système. Votre entreprise est florissante et ne va pas disparaître de sitôt. Heureusement, des mesures de sécurité assez simples peuvent arrêter les attaquants. Les procédures standard telles que les mises à jour logicielles régulières et les sauvegardes sont déjà utiles. »
"Des contre-mesures efficaces contre l'écosystème des rançongiciels ne peuvent être prises qu'une fois que ses principes fondamentaux sont vraiment compris", a ajouté Ivan Kwiatkowski, chercheur principal en sécurité au sein de l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky. "Grâce à notre rapport, nous espérons aider à comprendre exactement comment les attaques de ransomwares sont organisées afin que la communauté de la sécurité informatique puisse prendre les contre-mesures appropriées."
Plus de SecureList sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/